| 0 |
陳委員素月:(10時7分)謝謝主席,請主席邀請部長。 |
| 1 |
主席:林部長請。 |
| 2 |
林部長宜敬:委員早安。 |
| 3 |
陳委員素月:林部長早。我想今天很多委員都在關心央廣被駭客入侵,首頁被置換為五星旗的這個事件,由這個事件所衍生出來的幕後真的是非常骯髒齷齪的一面,讓我們覺得真的是引起社會的譁然。另外,這個事件爆發出某立委利用駭客當作義工,入侵政府機關,也入侵戶政資料,去肉搜在網路上發表對他不利言論的人,蒐集他的個資之後予以公開。這兩個事件顯示出我們政府的資安真的是非常的薄弱,不只是破口,這麼輕易的…… |
| 4 |
林部長宜敬:這個應該是人安,不是資安,其實不是技術上出了問題,是人出了問題。 |
| 5 |
陳委員素月:是人出了問題?央廣這個有可能是人安,因為他是內部的員工,可是戶政系統呢?部長,你認為這個也是人安嗎?這不是外部入侵的嗎? |
| 6 |
林部長宜敬:戶政系統的這個事情我們請資安署署長說明。 |
| 7 |
蔡署長福隆:謝謝委員,我想戶政系統當然是有一些資料在防護上面有一些小小的問題,不過我想戶政部分這幾年因為移給它原來的資訊中心在做處理,所以在戶政系統方面的資安其實已經加強非常多,以上。 |
| 8 |
陳委員素月:是,我們也要就這兩件事件去檢討,並加強防護,我不管你說戶政系統目前移交給哪個單位在主管,可是整個資訊安全系統的防護,我想數發部應該也是有責任去協助跟指導。 |
| 9 |
林部長宜敬:是,沒錯。如同我剛才在業務報告裡面有講的,從事前、事中、事後的防護,我們在資安署及資安院都設置了各種機制,就是儘量來把政府的資安加強,把各種破洞堵住。 |
| 10 |
陳委員素月:好。當然資安的破口可能就是系統軟體的加強。剛剛部長提到,你把它定位為人安? |
| 11 |
林部長宜敬:以央廣的事情來講,應該是人安。 |
| 12 |
陳委員素月:人安的話,可能就更防不勝防了吧! |
| 13 |
林部長宜敬:是,沒錯。因為央廣的主管機關是文化部,但是因為央廣屬於國家關鍵基礎設施,所以它的資安是由數發部來監管的。所以那時候我們接到央廣的通報以後,我們馬上派專家去進駐。進駐以後,我們就去查。查了以後,我們的研判,應該就是那個涉案的人員本身就是網管的人員,他本身就有最高權限的帳戶,他就用這些帳戶去開很多的破口、做了很多的事情。 |
| 14 |
陳委員素月:如果針對這一種明明他就是主管的這樣子的權限的人,還故意去做違法的事情,那我們在刑責上是不是可以對他加重處罰? |
| 15 |
林部長宜敬:中長期來講的話,我們可能要透過修法來…… |
| 16 |
陳委員素月:目前的刑責是怎麼樣? |
| 17 |
蔡署長福隆:謝謝委員。目前有關於電腦的犯罪是在刑法第三百五十九條裡面有提到,假設取得相關的系統或是刪除、更換的話,就犯了電腦相關的一些使用罪,那這個罪在刑法第三百五十九條裡面有相關的規範。 |
| 18 |
陳委員素月:是,我想這個是非常嚴重,而且非常重要的一部分,因為資安我們可以透過軟體科技,那是硬體部分的加強;可是人安的話,你要怎樣去落實管理?尤其面對我們現在每個機關……因為就是資訊化的時代,我們過去在委員會也討論到每一個機關有關資訊長、資安長設立的部分,但如果未來掌管資訊安全的人反而變成是一個內部犯罪的人,那我覺得這個是一個非常嚴重的問題。 |
| 19 |
林部長宜敬:是。我們對資安人員都有特殊的查核,確定他的安全性。當然這些事件可能還是出現了一些破口,我們以後會改進。 |
| 20 |
陳委員素月:好。希望針對這個部分,我們要再去思考怎樣去防範。 |
| 21 |
林部長宜敬:是。 |
| 22 |
陳委員素月:接下來我要講的,就是除了內部的作為我們要加強之外,我們對外部駭客網攻的部分。因為今天國安局的業務報告裡面也有提到,我國政府網路每日遭受到網攻高達280萬次,這個攻擊又是鎖定在我國的政府機關,還有關鍵基礎設施,以及產業供應鏈這幾個部分。所以面對中共發動國家層級的網攻,我們有沒有能力去應付跟防護?可不可以請部長講一下? |
| 23 |
林部長宜敬:在防護這方面,我們的政策是希望從兩方面來著手,一方面是政府,我們的資安署、資安院要加強能量,讓政府有更大的能力去保護我們的政府還有我們的關鍵基礎設施。另外我們也有第二個政策,就是希望在臺灣有一個非常健康的資安產業。事實上臺灣的軟體產業不是特別強,但是臺灣的資安軟體產業是相當強的。包含委員您所提到的產業供應鏈,我們現在就是跟SEMI和台積電推出了一個SEMI E187的標準,就是希望在整個產業鏈,除了保護好我們的台積電以外,台積電的上游、下游我們都要把它保護好,避免駭客利用台積電的上游或下游作為跳板去攻擊台積電。這是整個策略上或者是我們SEMI E187的概念,而這本身其實也是一個很大的商機,我們希望臺灣的資安產業都能掌握到這個商機,在保護好我們的產業供應鏈、保護好我們的政府或民間公司之外,他們也能賺錢。 |
| 24 |
陳委員素月:對於網路資訊安全,這點非常重要。所以針對屬於資通安全責任等級A級的,就是包括戶政系統的資料,或者是我們廣電的傳播設施,這個部分我們希望數發部要去加強。 |
| 25 |
林部長宜敬:是。 |
| 26 |
陳委員素月:另外我剛剛有提到,就是面對境外的攻擊,它不只是攻擊政府機關、關鍵基礎設施,甚至傳產,就是產業的這個領域也是他們攻擊的一個目標。 |
| 27 |
林部長宜敬:是。 |
| 28 |
陳委員素月:我們也看到不管是中小企業,甚至農業,因為現在農業也都會利用智慧農業,就是透過手機的遠端遙控去做生產的控制。 |
| 29 |
林部長宜敬:是,沒錯。 |
| 30 |
陳委員素月:我們也有發現被駭客入侵,造成農友損失的案例。所以我們希望在這個部分,數發部也要多加給予一些相關的協助。我也看到蔡署長日前在接受今周刊專訪的時候,有提到針對民間企業的資安,政府的主動性會再提升。這個部分不曉得部長是不是可以回答一下?就是說政府的主動性大概會做到什麼樣的程度?未來在民間企業、中小企業,甚至農業,我們數發部會扮演什麼樣的角色?會有什麼具體的計畫? |
| 31 |
林部長宜敬:其實這些中小企業的資安,或者是農業的資安最大的問題是,通常在中小企業並沒有專業的資訊人員,更不用講說專業的資安人員,所以它對自己的保護當然是沒辦法做到很好…… |
| 32 |
陳委員素月:對,可能財力不夠或人才不足。 |
| 33 |
林部長宜敬:對。我們覺得最好的方法就是鼓勵中小企業儘量使用雲端的服務,因為雲端的服務就是雲端的公司去……譬如我們用email來講,以前各個中小企業各自設立email server,也就是email伺服器的時候,常常會受到駭客的攻擊。但是現在國人都很習慣用像Gmail這種雲端的網路email服務的時候,這個資安就是會由Google或者是臺灣的資訊業者去負責,所以就可以把資安防護的責任轉移到提供雲端服務或者是標準化產品的廠商。這也是契合我們現在數發部的一個政策,就是鼓勵臺灣的軟體產業儘量去發展產品,而不是做一個專案,因為如果做成標準化產品的話,那就由做這些標準化軟體產品的公司負責把它的產品資安做好。如果它做不好的話,它自然會喪失它的訂單,所以它有它的motivation,它會想辦法把這個事情做好。這也是我們另外講的一個產業的策略,就是我們希望利用民間資安產業的力量去守護臺灣,不管是政府或者民間企業的資安。 |
| 34 |
陳委員素月:是。我想現在是一個網路資訊發展非常迅速的時代,所以有關資安的防護,不管是政府機關或者是關鍵基礎設施,甚至民間企業,還有農業,真的每一個行業都需要數發部來給予大力的協助,所以也希望部長要多擔起這個重責大任。 |
| 35 |
林部長宜敬:是,謝謝委員的勉勵。 |
| 36 |
陳委員素月:謝謝。 |
| 37 |
主席:好,謝謝。 |
| 38 |
接下來請徐富癸委員質詢。我們剛剛已經有宣告10點半左右休息,所以我們到魯明哲委員質詢完畢之後休息10分鐘,謝謝。 |